Angesichts der endlosen Cyber-Bedrohungen, die Ihr Unternehmen gefährden, reicht es nicht mehr aus, nur auf Bedrohungen zu reagieren, sondern es ist wichtig, Bedrohungen zu entdecken und zu antizipieren. Viele Bedrohungen bleiben unentdeckt, sobald sie die automatisierte Cybersicherheit überwunden haben. 20% der Bedrohungen sind so raffiniert, dass sie im Durchschnitt 280 Tage lang unentdeckt bleiben und erheblichen Schaden anrichten können.
Die Suche nach Cyber-Bedrohungen verkürzt die Zeit vom Eindringen bis zur Entdeckung, um den Schaden zu verringern, der durch Sicherheitsverletzungen entsteht. Ein Angreifer kann monatelang geduldig warten, bevor er auf die Daten zugreift, die er wochenlang aufgedeckt hat, und bleibt so lange unentdeckt. Sie warten auf die richtige Gelegenheit und bereiten sich auf einen schwerwiegenden Datenverstoß vor, der Ihr Unternehmen Millionen von Dollar kosten und seinen Ruf zerstören kann. Deshalb ist die Bedrohungsjagd so wichtig für Ihre Sicherheitslösung.
Was ist Cyber Threat Hunting?
Die Bedrohungsjagd ist die proaktive Suche nach Cyber-Bedrohungen, die ansonsten von Standard-Tools und -Technologien in Ihrem Netzwerk unentdeckt bleiben. Ihre Standardsicherheitssysteme sind hervorragend geeignet, um Bedrohungen für Ihr Unternehmen abzuwehren, zu überwachen und zu entschärfen. Einige Bedrohungen sind jedoch fortschrittlich genug, um Ihre Endpunktsicherheit zu umgehen. Diese Bedrohungen neigen dazu, typische Erkennungsfunktionen zu umgehen und die Sicherheit Ihres Netzwerks ins Visier zu nehmen, was die Bedrohungsjagd zu einem wichtigen Bestandteil Ihrer Daten- und Netzwerkverteidigung macht.
Automatisierte Systeme zur Erkennung von Bedrohungen sind ebenfalls ein Kernelement Ihrer Sicherheitskräfte, aber es sind die Praktiken zur Suche nach Cyber-Bedrohungen, die Unternehmen in die Lage versetzen, ihre Werte vollständig zu schützen, indem sie alle unerkannten, unbekannten oder nicht behobenen Bedrohungen aufspüren. Bei der Suche nach Cyber-Bedrohungen kommen sowohl menschliche Experten als auch Software zum Einsatz, insbesondere Big Data Processing. Threat Hunting ist für die Erkennung von 57% der Cyberbedrohungen verantwortlich und übertrifft damit andere traditionelle Sicherheitskontrollen wie Firewalls und Antivirensoftware. (Quelle: MITRE ATT&CK Evaluation)
Threat Hunting Methoden
Wie also spüren IT- und Sicherheitsteams scheinbar unerkennbare Bedrohungen auf? Es gibt eine Reihe von Techniken, die Jäger zur Analyse und Prüfung von Daten einsetzen. Diese Schritte sind so konzipiert, dass sie effizienter arbeiten als Cyberangriffe, indem sie Automatisierung, maschinelles Lernen, Analysen des Nutzer- und Entitätsverhaltens und mehr nutzen, um Sicherheitsteams zu alarmieren und zu unterstützen.
Baseline
Um bei der Bedrohungssuche potenzielle rote Fahnen zu erkennen, müssen Sie zunächst eine Baseline erstellen, um festzustellen, wie der “normale” Betrieb in Ihrem Unternehmen aussieht. Durch die Festlegung der Ausgangssituation wird der Prozess der Entdeckung von Bedrohungen erheblich beschleunigt und die Zeit, bis die Bedrohung sichtbar wird, verkürzt.
Wie sieht eine typische administrative Systemaktivität aus? Welche Indikatoren können auf mögliche Angriffe hinweisen? Der Grundgedanke dabei ist, dass die Jäger nach Ausreißern Ausschau halten können, die sich von autorisierten Ereignissen abheben. Diese Anomalien werden dann von den Jägern mit Hilfe von Threat Intelligence, Sicherheitsdaten und anderen Technologien zur Erkennung von Bedrohungen unter die Lupe genommen.
Angriffsspezifische Jagden
Das Baselining gibt den Jägern einen Maßstab, mit dem sie arbeiten können, um die Cyber-Bedrohungslandschaft besser zu verstehen. Die angriffsspezifische Bedrohungsjagd ist weitaus zielgerichteter und spürt bösartige Aktivitäten in einem schnelleren Tempo auf. Diese Jagd ist auf einen bestimmten Bedrohungsakteur oder eine bestimmte Bedrohung ausgerichtet, und in Kombination mit Baselining-Daten können Sie oft die idealen Ergebnisse erzielen.
Zeitliche Empfindlichkeit
Jede Bedrohungsjagd ist eine zeitkritische Angelegenheit, was bedeutet, dass die Jäger ihre Baseline konsequent validieren und testen müssen. Wenn Sie Änderungen an Ihrer Software vornehmen, um eine Baseline zu erstellen, erzeugen Sie dann unnötigen Datenverkehr, der zu falsch-positiven Daten führt? Und was ist, wenn Sie neue Informationen finden? Da die Angreifer sich weiterentwickeln und ihre Vorgehensweise ändern, müssen die Jäger ihre erkenntnisbasierten Jagden validieren und sicherstellen, dass alles reibungslos funktioniert. Auf diese Weise verhindern Sie, dass Ihre Systeme und Tools den Zeitplan des Angreifers überholen.
Quellen von Drittanbietern
Manchmal haben interne IT-Teams nicht die Bandbreite, um eine proaktive Rolle wie die Bedrohungsjagd zu übernehmen, weshalb sich viele Unternehmen an Drittanbieter wenden, die Bedrohungsjäger unterstützen. Drittanbieter übernehmen Aufgaben wie das Ausschließen falsch positiver Hinweise, IP-Lookups, Geolokalisierung, verschlüsselte Verkehrsmetadaten, Log-Erkennung, Überlagerungen von Angreifertechniken und mehr.
Typen von Threat Hunting
Wenn Sie auf der Grundlage eines Datenauslösers eine Spur haben und eine Hypothese aufstellen, können Sie in die Ermittlungsphase eintreten. Viele Jäger kategorisieren die Bedrohungsjagd in drei Haupttypen tiefergehender Untersuchungen: strukturierte, unstrukturierte und situations- bzw. personenbezogene Bedrohungsjagd.
- Strukturierte Bedrohungsjagd. Bei dieser Art der Jagd werden ein Angriffsindikator (Indicator of Attack, IoA) und die Taktiken, Techniken und Verfahren (TTP) eines Angreifers verwendet, um die Jagd zu steuern. Alles ist auf die TTPs von Bedrohungsakteuren ausgerichtet, was besonders hilfreich ist, wenn Sie versuchen, einen Bedrohungsakteur zu identifizieren, bevor der Angriff größeren Schaden anrichtet. Als strukturiertes System sind alle Jagden auf denselben Bedrohungsindikator ausgerichtet.
- Unstrukturierte Bedrohungsjagd. Der unstrukturierte Ansatz wird auf der Grundlage eines Auslösers, insbesondere eines Kompromissindikators (Indicator of Compromise, IoC), in Gang gesetzt. Diese Art der Bedrohungsjagd erfordert eine umfangreiche Untersuchung der Muster vor und nach der Erkennung. Während die strukturierte Bedrohungsjagd sehr zielgerichtet und geplant ist, ist die unstrukturierte Bedrohungsjagd eher reaktiv und kann an die jeweiligen Bedrohungen angepasst werden.
- Situations- oder unternehmensbezogene Bedrohungsjagd. Und schließlich gibt es spezifische Jagden, die sich aus einer internen Risikobewertung ergeben, die ein Unternehmen durchführt. Wenn ein Unternehmen beispielsweise eine Schwachstellenanalyse für die spezifische IT-Landschaft des Unternehmens durchführt, würde dies als situationsbedingte Suche betrachtet, bei der die Jäger entsprechend den Ergebnissen der Analyse nach bestimmten Verhaltensweisen suchen können.
Threat Hunting Werkzeuge
Fachwissen und Erfahrung sind unersetzlich, wenn es um Sicherheit geht, aber das gilt auch für die hochmodernen Tools, die Threat Hunters einsetzen. Um mit den komplexen Techniken moderner Cyberangriffe Schritt halten zu können, verfügt die Bedrohungsjagd über einige Standardwerkzeuge, die die Aufdeckung versteckter Angriffe ermöglichen. Zu diesen grundlegenden Werkzeugen gehören unter anderem:
- Managed Detection and Response (MDR). MDR ist eine Art von Cybersicherheitsinstrument, das bei der Reaktion auf Bedrohungen hilft. Es konzentriert sich auf den Schutz von Ressourcen durch die Erkennung von Bedrohungen und die anschließende Reaktion auf Sicherheitsverletzungen mithilfe von Bedrohungsdaten, die ein zentrales Element der Bedrohungsjagd darstellen. Um Bedrohungen zu erkennen und zu beseitigen, trägt MDR dazu bei, die Verweildauer von Angriffen zu verkürzen, damit die Teams schnelle und entscheidende Entscheidungen treffen und Ihr Netzwerk schützen können.
- Sicherheitsinformationen und Ereignisverwaltung (SIEM). SEIM ist eine Kombination aus Security Information Management (SIM) und Security Event Management (SEM). Zu den wichtigsten Angeboten für die Bedrohungsjagd gehören die Echtzeit-Überwachung von Ereignissen und die Analyse dieser Ereignisse, während gleichzeitig Sicherheitsdaten protokolliert werden. SIEM hilft bei der Entdeckung von Anomalien im Benutzerverhalten und bei der Feststellung anderer Ausreißer in Ihren Ereignissen, was zu detaillierteren Untersuchungen führt.
- Sicherheitsanalyse. Ein weiteres unverzichtbares Tool für die Bedrohungsjagd ist die Sicherheitsanalyse, die im Vergleich zu SIEM etwas tiefer gräbt und noch detailliertere Erkenntnisse liefert. Mit Analysetools, die Big Data mit den neuesten Technologien wie integriertem maschinellem Lernen, KI und mehr kombinieren, erhalten Sie ein besseres Verständnis Ihrer Sicherheitsdaten. Mit ausgefeilter Software, Algorithmen und anderen Prozessen können Bedrohungsjäger Bedrohungen viel effizienter erkennen. Diese Analysen machen Beobachtungsdaten weitaus besser verwertbar und genauer.
Threat Hunting-Stufen
Es gibt zwar verschiedene Methoden, Strategien und Werkzeuge, die von Bedrohungsjägern eingesetzt werden, aber die Grundformel für eine effektive Bedrohungsjagd lässt sich in drei grundlegende Schritte unterteilen: Auslöser, Untersuchung und Lösung.
Schritt 1: Der Auslöser
Ein Auslöser gibt einem Bedrohungsjäger die Richtung vor und identifiziert ein bestimmtes System oder einen Bereich des Netzwerks, der genauer untersucht werden muss. Auslöser treten auf, wenn potenziell bösartige Aktivitäten im Spiel sind. Bei der Bedrohungsjagd geht es vor allem darum, proaktiv zu sein und nach möglichen Problemen zu suchen. Daher kommt es häufig vor, dass eine neue Bedrohung auftaucht, wenn ein Sicherheitsteam aktiv nach einer bestimmten Art von fortgeschrittener Bedrohung sucht.
Schritt 2: Untersuchung
Der zweite Schritt der Bedrohungsjagd ist eine Untersuchung, bei der ein Bedrohungsjäger Technologien und Techniken einsetzt, die für die Art des Auslösers oder der Bedrohung, mit der er arbeitet, am besten geeignet sind. Dazu gehören Erkennungstools, die anzeigen können, wann ungewöhnliche und verdächtige Aktivitäten stattfinden. Bedrohungsjäger müssen sich auf die Details konzentrieren und herausfinden, wo und warum das System kompromittiert wurde, indem sie so viele Informationen wie möglich sammeln, diese Daten analysieren und wichtige Trends, Schwachstellen und Vorhersagen aufdecken. Die Untersuchungsphase bleibt so lange aktiv, bis der Auslöser als harmlos eingestuft wird oder die Quelle des bösartigen Verhaltens entdeckt wird.
Schritt 3: Auflösung
Der letzte Schritt der Bedrohungssuche besteht darin, die wichtigsten und verwertbaren Informationen an die Betriebs- und Sicherheitsteams weiterzugeben, um Maßnahmen zur Eindämmung der Bedrohung einzuleiten. Dies geschieht häufig mithilfe automatisierter Technologie.
Die Bedrohung hört hier auf
Interne Cybersicherheit ist kein leichtes Unterfangen und kann sich schnell zu einem komplizierten und ineffektiven System auswachsen. Ihr derzeitiges Team nimmt wahrscheinlich schon eine Menge Arbeit und Sicherheitsverfahren auf sich, und wenn diese Teams überlastet sind, ist es nur eine Frage der Zeit, bis etwas durch die Maschen schlüpft. Das Streben nach besserer Sicherheit mittels Threat Hunting ist in der modernen digitalen Umgebung unerlässlich, aber nicht immer eine realistische Aufgabe für Ihre interne Task Force.
Die Lösung, der sich viele Unternehmen zuwenden, sind Sicherheitsexperten von Drittanbietern, die über die Zeit, die Erfahrung und die Ressourcen verfügen, um Ihre digitale Verteidigung zu vervollständigen. Ausgelagerte Cybersicherheitsteams bieten oft folgende Vorteile
- Humankapital/Expertise. Verlassen Sie sich auf echte Menschen mit echter Erfahrung, nicht nur auf Tools und Automatisierung, die bei der Bedrohungsjagd zum Einsatz kommen. Angreifer passen sich an vorhersehbare Technologien an, und nur das menschliche Gehirn kann sich an moderne Cyber-Bedrohungen anpassen.
- Historische Daten. Erhöhen Sie die Transparenz und den Bedrohungskontext mit Echtzeitdaten, um die Genauigkeit bei Untersuchungen zu verbessern. Bei so vielen Endpunkten und Netzwerkressourcen in einem Unternehmen ist eine skalierbare Lösung, wie z. B. eine Cloud-Infrastruktur, unerlässlich, um Echtzeitdaten aus solch großen Datensätzen zu erhalten.
- Informationen über Bedrohungen. Verlassen Sie sich nicht nur auf Experten, sondern auch auf genau erfasste, verarbeitete und analysierte Daten, um die Risiken, Verhaltensweisen und Angriffe, denen Ihr Unternehmen ausgesetzt ist, besser zu verstehen. Ein ausgelagertes Team kann sich die Zeit nehmen, interne Daten mit aktuellen Trends und Tools abzugleichen, um sicherzustellen, dass Ihr Unternehmen über die besten Ressourcen und Informationen verfügt.
- 24×7-Betrieb. Anstatt mehr Geld für die Überlastung Ihres Teams zu bezahlen, können Sie sich auf einen Dritten verlassen, der Ihre Vermögenswerte rund um die Uhr schützt und analysiert.
Ontinue bietet 24×7 globalen Bedrohungsschutz durch zertifizierte Experten, die perfekt darauf vorbereitet sind, Ihr Unternehmen zu verstehen und vor Cyberkriminellen zu schützen. Während Ihre internen IT-Teams strategischere Maßnahmen ergreifen und sich auf die Ziele Ihres Unternehmens konzentrieren, kümmert sich Ontinue um Ihren gesamten vollständig verwalteten globalen Sicherheitsbetrieb. Erfahren Sie, was Ontinues Threat Hunting für Ihre Cybersicherheit tun kann und Demo anfordern heute!